0 Карл Сумманен комитет по банковским информационным технологиям Ассоциации региональных банков России 12-й Национальный форум информационной безопасности "Информационная безопасность России в условиях глобального информационного общества января 2010 года, Москва

1 ОТДЕЛЬНЫЕ ПРОБЛЕМЫ БАНКОВ В СВЯЗИ С 152-ФЗ (1/2) ПроблемаПример Необходимость изменения сложившейся практики делового документооборота и невозможность дистанционной подачи потенциальным клиентом заявки на карточку или кредит обработка запросов субъектов Необходимость выполнения новых функций, не приносящих дохода и требующих дополнительного привлечения значительных трудовых ресурсов обработка запросов субъектов ПД Необходимость массового перезаключения договоров с клиентами необходимость получения согласия субъектов необходимость закрепления в договоре согласия клиента на передачу его персональных данных третьему лицу в случае необходимости(1) Появление новых труднореализуемых и крайне трудоемких процессов уничтожение ПД в предусмотренных случаях обеспечение акутальности ПД становится обязанностью оператора Появление препятствий в работе, направленной на снижение рисков невозврата кредитов и на сокращение просроченной задолженности затрудняется деятельность по проведению проверок сведений о субъекте персональных данных на этапе подготовки к заключению кредитных договоров Риски вмешательства регуляторов в операционную деятельность кредитных организаций с последствиями, идентичными отзыву Центральным банком Российской Федерации лицензии на осуществление банковской деятельности в соответствии с пунктом 4 части 3 статьи 23 Закона 152-ФЗ уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия) имеет право «принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона» (1) непонятно зачем необходимо это требование, так как оно ничего не дает с точки зрения защиты ПД.

2 ОТДЕЛЬНЫЕ ПРОБЛЕМЫ БАНКОВ В СВЯЗИ С 152-ФЗ (2/2) ПроблемаПример Риски блокирования работы кредитной организации путем перегрузки ее запросами граждан – субъектов персональных данных право субъекта с негораниченной частотой требовать без права оператора взимать плату Многосторонне регламентирование данные клиентов, необходимые для осуществления банковских операций и иных мероприятий, направленных на снижение рисков банковской деятельности, традиционно защищаются в кредитных организациях в соответствии с банковским законодательством и широко распространенными стандартами безопасности и управления рисками ISO 17799, , 13335, COBIT, PSI DSS, СТО БР ИББС-1.0, а также документами ФСБ России и ФСТЭК России. Возникает наложение требований разных стандартов. Сложность внедрения новых технологий и процессов, повышающих операционную эффективность требования согласий и письменных делают невозможным дистанционные обслуждивание Рост расходов на ИТ жесткие требования по защите данных в ИС и необходимсоть осуществления в течение короткого периода комплекса мероприятий по приведению ИС в соответствие с требованиями Закона Коллизии с требованиями других нормативно-правовых актов затрудняется деятельность по проведению проверок сведений о субъекте персональных данных на этапе подготовки к заключению кредитных договоров или усиленной идентификации клиентов при совершении валютных операций и операций, подпадающих под действие Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (1) непонятно зачем необходимо это требование, так как оно ничего не дает с точки зрения защиты ПД.

3 ВИДИМЫЕ СЛЕДСТВИЯ Необходимость отвлечения ресурсов в реализацию мер по выплнению требований Закона от более приоритетных проектов Сложности с развитием прогрессивных технологий Риски применения санкций из-за усложнения регулирования Риски вмешательства субъектов ПД в текущую деятельность операторов Риск появления новых возможностей мошенничества субъектов Риски принятия неправильных решений (кредитных и ииных) из-за запрета использования ПД либо сокращения кредитования из-за невозможнсти принятия обоснованных решений Снижение операционной эффективности и технологичности бизнеса Снижение эффективности антикризисных мер и замедление развития Условия для коррупции Потеря конкурентоспособности банковской сферы и экономики России в отношении других стран Необходимость отвлечения ресурсов в реализацию мер по выплнению требований Закона от более приоритетных проектов Сложности с развитием прогрессивных технологий Риски применения санкций из-за усложнения регулирования Риски вмешательства субъектов ПД в текущую деятельность операторов Риск появления новых возможностей мошенничества субъектов Риски принятия неправильных решений (кредитных и ииных) из-за запрета использования ПД либо сокращения кредитования из-за невозможнсти принятия обоснованных решений Снижение операционной эффективности и технологичности бизнеса Снижение эффективности антикризисных мер и замедление развития Условия для коррупции Потеря конкурентоспособности банковской сферы и экономики России в отношении других стран

4 … И ИХ ПРИЧИНЫ Особенности банков как операторов персональных данных Особенности Российской реализации закона о персональных данных Особенности момента времени Особенности банков как операторов персональных данных Особенности Российской реализации закона о персональных данных Особенности момента времени

5 ОСОБЕННОСТИ БАНКОВ КАК ОПЕРАТОРОВ ПД Большое число субъектов ПД (десятки миллионов) Большой объем и разнообразие ПД по одному субъекту Длительные отношения с субъектом (десятки лет) с длинными интервалами отсутствия взаимодействий (годы) Высокий уровень автоматической обработки Высокий приоритет операционной эффективности и управления рисками в том числе необходимость внедрения высокотехнологичных форм обслуживания клиентов и обработки операций включая различные формы дистанционного обслуживания Необходимость трансграничной передачи ПД в любые страны с транзитом данных через сети сторонних провайдеров (с неизвестной маршрутизацией) и промежуточные банки-корреспонденты Необходимость выполнения правил различных международных организаций, в т.ч. включающих требования передачи ПД Необходимость обработки ПД субъектов, не являющихся клиентами Как правило компонентная информационная система с множественными базами ПД и сложными информационными потоками между компонентами Необходимость использования исторической информации о взаимодействии банка с клиентом Необходимость использования данных (в том числе "чуствительных" данных) из сторонних источников без уведомления субъекта ПД Постоянная подверженность "атакам мошенников" Подверженность многостороннему регулированию Необходимость работы с большими объемами документов на бумаге включая длительное хранение Многообразие целей обработки ПД включая вероятность возникновения со временм новых целей Большое число субъектов ПД (десятки миллионов) Большой объем и разнообразие ПД по одному субъекту Длительные отношения с субъектом (десятки лет) с длинными интервалами отсутствия взаимодействий (годы) Высокий уровень автоматической обработки Высокий приоритет операционной эффективности и управления рисками в том числе необходимость внедрения высокотехнологичных форм обслуживания клиентов и обработки операций включая различные формы дистанционного обслуживания Необходимость трансграничной передачи ПД в любые страны с транзитом данных через сети сторонних провайдеров (с неизвестной маршрутизацией) и промежуточные банки-корреспонденты Необходимость выполнения правил различных международных организаций, в т.ч. включающих требования передачи ПД Необходимость обработки ПД субъектов, не являющихся клиентами Как правило компонентная информационная система с множественными базами ПД и сложными информационными потоками между компонентами Необходимость использования исторической информации о взаимодействии банка с клиентом Необходимость использования данных (в том числе "чуствительных" данных) из сторонних источников без уведомления субъекта ПД Постоянная подверженность "атакам мошенников" Подверженность многостороннему регулированию Необходимость работы с большими объемами документов на бумаге включая длительное хранение Многообразие целей обработки ПД включая вероятность возникновения со временм новых целей

6 ОСОБЕННОСТИ РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПД В РОССИИ И ЗА РУБЕЖОМ (1/3) Требования законаРоссияЕвропа Баланс интересов субъекта и оператораперекос в сторону субъектакак основной принцип Учет реальных возможностей операторовигнорируютсякак основной принцип Защита ПД для документов на бумагетребуется только электронные данные Защита ПД в случае неавтоматизированной обработки требуетсятолько автоматизированная Обновление ПДобязанность операторав случае необходимости Уничтожение ПДтребуетсяне требуется Соразмерность мер защиты рискамигнорируетсякак основной принцип Ограничение частоты запросов субъектанетограничена Ограничение срока подготовки ответа операторомограниченне установлен Определение объема информации в ответе оператора установлен и большойнее установлен Возможность взимания оператором платы за ответы требование бесплатностидопускается платность Требование ЕС обоснованности требований национальных законов -как основной принцип

7 ОСОБЕННОСТИ РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПД В РОССИИ И ЗА РУБЕЖОМ (2/3) Требования законаРоссияЕвропа Требование не создавать помехи развитию рынка-как основной принцип Требование не создавать помехи внедрению новых технологий -как основной принцип Требование не создавать помехи функционированию оператора -как основной принцип Регулирование специально созданным органом-как основной принцип Жестко детерминированный порядок защиты ПД единый для всех категорий операторов как основной подход нет Право оператора самому определять адекватные меры исходя из особенностей бизнеса, процессов, вида и объемов ПД неткак основной принцип Ответственность оператора за формальное соблюдение формальных правил установленанет Использование существующих стандартов защиты информации как основы для защиты ПД игнорируютсякак основной принцип Реалистичность мер защитыигнорируетсякак основной принцип Принцип условно-максимальной защиты (1) не используетсяиспользуется (1) Максимальный уровень обеспечивается, если это возможно это сделать за счет недорогих мер

8 ОСОБЕННОСТИ РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПД В РОССИИ И ЗА РУБЕЖОМ (3/3) Требования законаРоссияЕвропа Информирование субъекта о действиях над ПДтребуетсяне требуется Обязанность оператора немедленного предоставления информации при обращении естьнет Ограничение срока устранения нарушенийсрок указан в Законенет Согласие субъекта на обработку ПДтребуетсяне требуется Принятие решений путем автоматической обработкизапрещеноне запрещено Право субъекта требовать блокирование ПДестьнет Право требовать уничтожения на основании неполноты, неактуальности, несоответствия целям естьнет Слияние баз ПДзапрещеноне запрещено Предопределенность целей обработкитребуетсяне требуется Конфиденциальность ПДтребуетсяне требуется

9 ОСОБЕННОСТИ МОМЕНТА Существенное сокращение возможностей получения доходов в сочетании с ростом рисков (в первую очередь кредитных) и расходов по реализованным рискам Усиление конкуренции между банками внутри страны, с зарубежными банками и с небанковскими организациями, предлагающими платежно- расчетные услуги Вынужденный переход в режим "выживания" и оптимизации операционных процессов. Ограниченные возможности выделения ресурсов на крупные проекты Приоритет на сокращении расходов через повышение операционной эффективности за счет таких мероприятий, как: оптимизация и автоматизация процессов переход к дистанционному обслуживанию клиентов переход к автоматизированной обработке операций исключение документов на бумаге исключения действий, не приносящих дохода Существенное сокращение возможностей получения доходов в сочетании с ростом рисков (в первую очередь кредитных) и расходов по реализованным рискам Усиление конкуренции между банками внутри страны, с зарубежными банками и с небанковскими организациями, предлагающими платежно- расчетные услуги Вынужденный переход в режим "выживания" и оптимизации операционных процессов. Ограниченные возможности выделения ресурсов на крупные проекты Приоритет на сокращении расходов через повышение операционной эффективности за счет таких мероприятий, как: оптимизация и автоматизация процессов переход к дистанционному обслуживанию клиентов переход к автоматизированной обработке операций исключение документов на бумаге исключения действий, не приносящих дохода

10 РЕЗЮМЕ И ВЫВОДЫ Закон значительно и необоснованно расширяет, детализует и усиливает требования по защите ПД и интересов субъектов ПД по отношению к Конвенции Закон не использует предоставленные Конвенцией возможности смягчения отдельных требований на национальном уровне Закон не учитывает особенности обработки ПД в различных областях бизнеса Закон не отвечает требованиям принципа соразмерности мер размеру возможного ущерба Закон содержит ряд практически неисполнимых и/или избыточных требований Закон ухудшает условия существования и развития бизнеса и усложняет решение задач выхода из кризиса и модернизации экономики Закон несвоевременен и ухудшает позиции России по отношению к другим странам Закон значительно и необоснованно расширяет, детализует и усиливает требования по защите ПД и интересов субъектов ПД по отношению к Конвенции Закон не использует предоставленные Конвенцией возможности смягчения отдельных требований на национальном уровне Закон не учитывает особенности обработки ПД в различных областях бизнеса Закон не отвечает требованиям принципа соразмерности мер размеру возможного ущерба Закон содержит ряд практически неисполнимых и/или избыточных требований Закон ухудшает условия существования и развития бизнеса и усложняет решение задач выхода из кризиса и модернизации экономики Закон несвоевременен и ухудшает позиции России по отношению к другим странам

11 ЧТО ДЕЛАТЬ В 2010 году существенно переработать Закон руководствуясь следующими принципами: приоритет национальных интересов России, в том числе в части операционной эффективности и развития экономики ответственность операторов за реальные последствия нарушения прав субъектов ПД, а не формальное соблюдение требований баланс прав субъектов и операторов ПД безусловная выполнимость всех требований Закона всеми категориями операторов соразмерность трудоемкости и отрицательного влияния на функционирование бизнеса мероприятий по защите возможным отрицательным последствиям нарушения прав субъектов ПД в случаях, когда это возможно передача полномочий по установлению требований по защите ПД на уровень отраслевых Регуляторов максимальное использование механизмов ослабления национальных требований, предусмотренных Конвенцией Предлагаемые действия: исключить из Закона все положения расширяющие, детализующие или усиливающие требования Конвенции, а также требования, исключение которых возможно на основе механизмов адаптации требований на национальном уровне, предусмотренных Конвенцией исключить из Закона все положения, устанавливающие детальные требования к порядку и средствам защиты ПД исключить из Закона все невыполнимые требования и требования отрицательно влияющие на операционную эффективность, развитие бизнеса и новых технологий исключить из Закона все положения вводящие избыточные права субъектов ПД исключить из Закона все положения, относящиеся к получению согласия субъекта на обработку ПД ограничить Закон только автоматизированной обработкой ПД в электронном виде В 2010 году существенно переработать Закон руководствуясь следующими принципами: приоритет национальных интересов России, в том числе в части операционной эффективности и развития экономики ответственность операторов за реальные последствия нарушения прав субъектов ПД, а не формальное соблюдение требований баланс прав субъектов и операторов ПД безусловная выполнимость всех требований Закона всеми категориями операторов соразмерность трудоемкости и отрицательного влияния на функционирование бизнеса мероприятий по защите возможным отрицательным последствиям нарушения прав субъектов ПД в случаях, когда это возможно передача полномочий по установлению требований по защите ПД на уровень отраслевых Регуляторов максимальное использование механизмов ослабления национальных требований, предусмотренных Конвенцией Предлагаемые действия: исключить из Закона все положения расширяющие, детализующие или усиливающие требования Конвенции, а также требования, исключение которых возможно на основе механизмов адаптации требований на национальном уровне, предусмотренных Конвенцией исключить из Закона все положения, устанавливающие детальные требования к порядку и средствам защиты ПД исключить из Закона все невыполнимые требования и требования отрицательно влияющие на операционную эффективность, развитие бизнеса и новых технологий исключить из Закона все положения вводящие избыточные права субъектов ПД исключить из Закона все положения, относящиеся к получению согласия субъекта на обработку ПД ограничить Закон только автоматизированной обработкой ПД в электронном виде

12 ПРИЛОЖЕНИЯ

13 КОНВЕНЦИЯ О ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ ПРИ ОБРАБОТКЕ ПД (1) (1/2) Цель настоящей Конвенции состоит в обеспечении … для каждого физического лица …, уважения его прав и основных свобод … в отношении автоматизированной обработки касающихся его данных личного характера… (Г1С1) только автоматизированная обработка "автоматизированная обработка" включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение (Г1С2) понятие обработки не включает сбор, систематизацию, накопление, блокирование, обезличивание Любое государство может … уведомить … о том, … что оно не будет применять настоящую Конвенцию к определенным категориям автоматизированных файлов данных личного характера (Г1С3) возможность исключения из- под действия национальных законов отдельных видов файлов ПД Данные личного характера, подвергающиеся автоматизированной обработке … являются точными и, когда это необходимо, обновляются (Г2С5Пd) обновление только в случае необходимости для оператора ПД Сохраняются в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это требуется для целей хранения этих данных сроки хранения определяются целями хранения, а не обработки нет требования уничтожения Для защиты данных личного характера … принимаются надлежащие меры безопасности … (Г2С7) соразмерность мер защиты рискам (1) Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера (Страсбург, 28 января 1981 года)

14 КОНВЕНЦИЯ О ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ ПРИ ОБРАБОТКЕ ПД (2/2) Любое лицо вправе получать с разумной частотой (1) и без чрезмерной задержки или чрезмерных расходов подтверждение того, хранятся ли касающиеся его данные личного характера в автоматизированном файле данных, а также получить такие данные в доступной для понимания форме (Г2С8Пb) ограничена частота запросов; можно раздельно получать подтверждение и сами ПД; срок не установлен допускается платность объем ПД не предписан Любое лицо вправе добиваться в случае необходимости исправления или уничтожения таких данных, если они подвергались обработке в нарушение норм внутреннего законодательства, воплощающего основополагающие принципы, изложенные в статьях 5 и 6 настоящей Конвенции (Г2С8Пc) должна быть необходимость при условии нарушения национального законодательства Расширенная защита. Никакие положения настоящей главы не должны толковаться как ограничивающие … возможность Стороны обеспечить субъектам данных большую степень защиты, чем та, которая предусмотрена настоящей Конвенцией. (Г2С11) возможность усиления степени защиты Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных… (152-ФЗ) Декларация не требует получения согласия субъекта ПД (1) В официальном переводе на русский язык допущена ошибка, в тексте оригинала пункт звучит как "…to obtain at reasonable intervals…"

15 РЕАЛИЗАЦИЯ КОНВЕНЦИИ ЕВРОПЕЙСКИМИ СТРАНАМИ (1) (1/2) Юридические, нормативные и технические требования, выдвигаемые в целях обеспечения защиты персональных данных … должны быть четко сбалансированы, чтобы не создавать помех для развития рынка. Достижение такого баланса возможно при выдвижении ограниченного и обоснованного количества требований, не препятствующего развитию новых технологий и функционированию операторов ПД (Директивы 95/46/ЕС и 97/66/ЕС Европейского парламента и Совета Европы) соразмерность требований рискам обоснованность требований не должно быть помех: развитию рынка новым технологиям функционированию ОПД Страны-участники сообщества разрабатывают национальные акты о защите данных, в которых на оператора возлагается, в частности, требование обеспечить «адекватную» защиту ПДН. Определение того, какие именно меры можно считать адекватными, осуществляют созданные в каждой стране бюро по защите данных (Data Protection Agency, DPA) акцент на адекватности регулирование поручется специально созданным органам Во всех исследованных случаях Регуляторы предлагают Операторам самим определять требуемые меры защиты данных с учтом природы и объема обрабатываемых данных, стоимости применения мер защиты, характеристик информационных систем оператора не применяется общее жестко детерминированное регулирование В рекомендациях DPA Великобритании и Ирландии прямо указано на возможность применения рекомендаций стандарта BSI 7799 и аналогичных стандартов ISO как достаточных для выполнения всех требований актов о защите данных возможно использование существующих актов, регулирующих защиту данных (1) По материалам исследования Банка России

16 РЕАЛИЗАЦИЯ КОНВЕНЦИИ ЕВРОПЕЙСКИМИ СТРАНАМИ (2/2) Во всех случаях от операторов не требуется применения каких-либо специальных мер защиты, кроме общепринятых (описанных в стандартах серий ISO/IEC и аналогичных ) стратегия использования существующих стандартов Выбор конкретных мер защиты, технических решений, стандартов, которыми необходимо руководствоваться, архитектур информационных систем остатся в компетенции оператора, как и непосредственная оценка риска нарушения безопасности данных нет детальных требований "низкого уровня" баланс прав и ответственности оператора на операторе лежит ответственность за реальные последствия, а не за формальное соблюдение требований Уровень защиты должен соответствовать риску нарушения безопасности. Принимаемые меры защиты должны быть реалистичными и соответствовать природе обрабатываемых данных и масштабам обработки (Дания) соразмерность мер защиты реалистичность мер зависимость мер от данных и масштабов Обработка «обычных» ПДН ни в какой ситуации не требует применения мер защиты, отличающихся от «обычных мер защиты информации» (Дания) Если данные не являются особо чувствительными, применение сложных мер по защите не обязательно (Нидерланды) преимущественное использование существующих мер защиты использование специальных мер защиты только в специальных случаях Если стоимость дополнительных мер защиты высока по сравнению с добавленным уровнем безопасности – вы не должны применять эти меры. Тем не менее, если вы можете существенно повысить безопасность системы с помощью недорогих мер – вы, безусловно, должны это сделать (Нидерланды) принцип соразмерности принцип условно-максимальной безопасности

17 РЕАЛИЗАЦИЯ КОНВЕНЦИИ РОССИЕЙ (1/4) … с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации (Г1С1П1) распространяется на документы на бумаге (расширение Конвенции) Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных… (Г1С2) распространяется на неавтоматизированную обработку (расширение Конвенции) Обработка персональных данных должна осуществляться на основе принципов: … недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных (Г2С5П1ПП5) запрет слияния баз (расширение Конвенции) Обработка … должна осуществляться на основе принципов: … соответствия целей обработки … целям, заранее определенным и заявленным при сборе персональных данных … (Г2С5П1ПП2) требование предопределенности целей (расширение Конвенции) Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении (Г2С5П2) срок хранения определяется целями обработки требование уничтожения (расширение Конвенции) Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных… (Г2С6П1) требования согласия (расширение Конвенции)

18 РЕАЛИЗАЦИЯ КОНВЕНЦИИ РОССИЕЙ (2/4) Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных… (Г2С7П1) режим конфиденциальности (расширение Конвенции) …обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных… (Г2С9П4) письменное согласие (расширение Конвенции) возможность отзыва Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных (Г3С16П1) запрет на принятие решений на основании только автоматической обработки (расширение Концепции) Субъект ПД вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки … (Г3С14П1) право требовать блокирования (расширение Конвенции) право требования на основании неполноты, устаревания, несоответствия заявленной цели обработки (расширение Конвенции) Субъект ПД имеет право на получение … информации … : 2) способы обработки ПД…; 3) сведения о лицах, которые имеют доступ к ПД …; 4) перечень обрабатываемых ПД и источник их получения; 5) сроки обработки ПД, в том числе сроки их хранения; 6) сведения о … юридических последствиях (Г3С14П4) определен состав информации (расширение Концепции)

19 РЕАЛИЗАЦИЯ КОНВЕНЦИИ РОССИЕЙ (3/4) Если ПД были получены не от субъекта персональных данных … оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: … (Г4С18П3) требование информирования субъекта (расширение Концепции) Оператор обязан … сообщить субъекту ПД … информацию о наличии ПД … предоставить возможность ознакомления с ними при обращении субъекта ПД либо в течение десяти рабочих дней с даты получения запроса субъекта (С20П1) требование немедленного сообщения ограничение срока ответа не ограничена частота запросов Оператор обязан безвозмездно предоставить субъекту ПД … возможность ознакомления с ПД, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие ПД по предоставлении субъектом ПД … сведений, подтверждающих, что ПД … являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта ПД … и третьих лиц, которым персональные данные этого субъекта были переданы. (С20П3) запрет взимания платы требование блокировки основания: устаревание, неполнота, не соответствие целям уведомление субъекта В случае выявления недостоверных ПД или неправомерных действий с ними оператора при обращении или по запросу субъекта ПД … оператор обязан осуществить блокирование ПД … (С21П1) требование блокирования

20 РЕАЛИЗАЦИЯ КОНВЕНЦИИ РОССИЕЙ (4/4) В случае выявления неправомерных действий с ПД оператор в срок, не превышающий трех рабочих дней … обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней … обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении ПД оператор обязан уведомить субъекта… (С21П3) ограничен срок устранения нарушений требование уничтожения требование информирования В случае достижения цели обработки … оператор обязан незамедлительно прекратить обработку ПД и уничтожить соответствующие ПД в срок, не превышающий трех рабочих дней … и уведомить об этом субъекта ПД … (С21П4) требование уничтожения требование уведомления В случае отзыва субъектом ПД согласия … оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней …. Об уничтожении ПД оператор обязан уведомить субъекта ПД (С21П5) возможность отзыва согласия требование уничтожения